Trojaner Rombertik: Vorsicht bei Windows-Mails mit Dateianhang

Der Trojaner Rombertik tarnt sich als Dateianhang einer augenscheinlich von Microsoft stammenden E-Mail. Auf infizierten System kann er durch Überschreiben des Master Boot Record für einen Datenverlust sorgen. E-Mails mit „Windows“ als Absender und Dateianhang sollten genauestens geprüft werden.

Es wurde ein neuer Trojaner namens Rombertik entdeckt, der sich über gefälschte E-Mails von Microsoft verbreitet. Wer den Dateianhang der augenscheinlich von dem Windows-Macher stammenden Nachricht öffnet, infiziert sich mit der Schadsoftware und verliert unter Umständen all seine Daten. Deshalb sollte man aktuell Microsoft-Mails mit „Windows“ als Absender und Anhang genauestens prüfen und im Zweifelsfall besser nicht öffnen.

(Bild: Cisco Talos)

So sieht eine Variante der E-Mail aus, dessen Dateianhang das System mit Rombertik infiziert (Bild: Cisco Talos)

Das Schadprogramm dient dem Diebstahl von Nutzerdaten und Passwörtern, die Rombertik in verschlüsselter Form unter anderem an die Domain www.centozos.org.in sendet. Bemerkenswert ist die Sofwarte wegen seiner aufwändigen Verschleierungsmechanismen. Die Malware ist nämlich eigentlich nur 28 KByte groß, kommt aber in einem 1264-KByte-Paket. Mehr als 97 Prozent sind nicht genutztes Tarnmaterial – darunter 75 Bilder und 8000 nie aufgerufene Programmfunktionen.

Um intelligente Erkennungssysteme für Sandbox-Umgebungen zu täuschen, schreibt Rombertik insgesamt 960 Millionen Mal ein einzelnes Byte in den Speicher, bevor er versucht, aus der Sandbox auszubrechen. Würde er in der vergehenden Zeit vollständig inaktiv bleiben, wie dies bisher oft praktiziert wird, würde gerade das Verdacht erregen. Droht der Rombertik-Trojaner trotzdem entlarvt zu werden, greifen Abwehrtechniken, die eine Erkennung der Schadsoftware verhindern sollen.

Im Gegensatz zu vielen Medienberichten, die auf eine etwas ungünstige Analyse von Ciscos Sicherheitsabteilung reagierten und Rombertik unter anderem als “Selbstmordattentäter” beschrieben, kann die Software nicht den befallenen “Computer zerstören”. Auch die Festplatte wird von der Malware nicht zerstört oder der Computer unbrauchbar gemacht, wenn der Anwender einen Virenscan durchführt. Wird Rombertik enttarnt, kann er unter anderem aber für einen Datenverlust sorgen, falls kein Backup vorliegt. Die Schadsoftware versucht nämlich den Master Boot Record einer Festplatte zu überschreiben und einen Neustart zu erzwingen, der dann von dieser Platte nicht mehr möglich ist. Eine Wiederherstellung der Daten wird dadurch erschwert. Klappt dies nicht, da nicht genügend Rechte vorliegen, versucht er die Dateien zu verschlüsseln.

(Bild: Cisco Talos)

Die Festplatte geht zwar nicht gleich in Flammen auf, ein Datenverlust droht aber auf Infizierten Systemen (Bild: Cisco Talos)

Vor dem Befall mit Rombertik können sich Anwender wie so oft durch gesunden Menschenverstand und eine gewisse Vorsicht schützen. Der Virus wird wie erwähnt als angeblich von Microsoft stammender Dateianhang des Formates PDF versandt. Wer den Absender genau prüft, solchen Anhängen grundsätzlich misstraut und einen aktuellen Virenscanner installiert hat, muss sich vor der Schadsoftware im Grunde nicht fürchten. Unvorsichtigen Anwendern droht allerdings ein nur schwer wiederherstellbarer Datenverlust, in dessen Zug immerhin der Virus selbst ebenfalls gelöscht wird.

[Mit Material von Florian Kalenda, ZDNet.de]

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Autor: Christian Schartel
Christian Schartel Christian Schartel Christian Schartel

Neueste Kommentare 

Noch keine Kommentare zu Trojaner Rombertik: Vorsicht bei Windows-Mails mit Dateianhang

Schreib einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *